Odmawianie Użytkownikowi Uprawnień Do Używania Napędu Cd Lub Kluczy Usb

[Jusko]

Witam.

 

Ostatnio przypominam sobie zarządzanie uprawnieniami użytkowników (Windows z dawnych czasów mam wizualnie opanowany w tej materii). Chciałbym maksymalnie ograniczyć usera. Mianowicie:

 

- uprawnienia do edycji mojego katalogu domowego odebrałem, jednak chciałbym dla usera XYZ ukryć widoczność mojego folderu w /home.

- Zrobić zestaw programów, jakie zobaczy po założeniu konta. Powiedzmy, że zakładam userowi konto, a on ma dostępne w menu programy takie jak OpenOffice oraz Firefox. Zrobić taki zestaw aplikacji, jakie ma w menu po założeniu konta. Podobno służy do tego /etc/skel, jednak nigdy nie używałem tego.

- Odebrać użytkownikowi prawo do używania napędu CD czy pendrive. Po prostu płyta się nie odtworzy a zawartość napędu USB nie wyświetli.

 

Pamiętam, że kiedyś w GNOME można to było ładnie i graficznie wyklikać w System-->Administracja-->Użytkownicy. Teraz nie widzę tu takiej możliwości. Chcę po prostu zrobić konto użytkownika wyłącznie do pisania i przeglądarki - nic więcej.

 

Ogólnie mimo latek z Linuksem, nigdy nie wgryzałem się w te kwestie głębiej, gdyż zwyczajnie nie musiałem tego robić - nie było potrzeby. Teraz robię to z czystej chęci bo kto wie, czy kiedyś się to nie przyda. W następnej kolejności chcę zrobić filtrację stron - np. zablokować każdą stronę, która ma xlaski w nazwie czy np. wikipedię lub allegro - ale to na inny temat rozmowa. Wszystko zrobiłbym sam, ale pod Windows, ponieważ w swoim czasie na nim szkoliliśmy takie manewry na labsach.

[borzole]

chciałbym dla usera XYZ ukryć widoczność mojego folderu w /home.

chyba się nie da ukryć samego folderu, natomiast zawartość tak (kwestia praw dostępu --> 640 będzie ok?).

 

Zrobić zestaw programów, jakie zobaczy po założeniu konta. (...)

Podobno służy do tego /etc/skel

Zawartość menu jest dla wszystkich taka sama. Nawet jak nie ma go w menu to da radę uruchomić program z konsoli, więc nic nie zyskujesz. Wprawdzie mógłbyś jednym skryptem przestawić prawa dostępu do programów (tak jak w przypadku programów dostępnych tylko dla root), ale na 90% coś się po tym spieprzy. Taka operacja wymagała by rozpatrzenia każdej aplikacji z osobna. Inne podejście to zrobienie logowanie chroot'a, ale to się robi raczej dla kont shell'owych. Krótko mówiąc jak nie chcesz by ktoś używał programu "x" to albo go nie instaluj albo niech mają konta na osobnej maszynce wirtualnej.

Zawartość /etc/skel jest kopiowana (bez nadpisywania) do nowego konta. To tylko szablon. Cokolwiek tam wrzucisz to będzie klonowane na zakładanych kontach, ale bez uaktualniania.

 

Odebrać użytkownikowi prawo do używania napędu CD czy pendrive. Po prostu płyta się nie odtworzy a zawartość napędu USB nie wyświetli.

Swego czasu miałem takie problemy, bo PolicyKit mi blokowało dostęp. Myślę, że powinieneś poczytać o PolicyKit.

 

Pamiętam, że kiedyś w GNOME można to było ładnie i graficznie wyklikać w System-->Administracja-->Użytkownicy.

yum install system-config-users

o to chodzi ?

 

Chcesz to zrobić w domu/biurze, czy to ma być jakiś ogólnodostępny komp? W tym drugim przypadku to potrzeba znacznie więcej zachodu.

[Jusko]

Chcesz to zrobić w domu/biurze, czy to ma być jakiś ogólnodostępny komp? W tym drugim przypadku to potrzeba znacznie więcej zachodu.

 

 

Na razie to w domu, ale mają to być ćwiczenia teoretyczne. A nóż widelec, przyjdzie mi kiedyś stawiać Linuksa w czytelni jakieś, gdzie jest wielu psujów? Dzieciaki to też nie idioci, bo w domu doczytają o Linuksie i będą próbować coś zepsuć. Dlatego chciałem do minimum to ograniczyć. Myślałem nad tym, że wyglądałoby to tak:

 

Szablon z /etc/skel, by w menu GNOME tylko zakładkę Biuro z OpenOffice i Internet z Firefox - i tylko tyle w menu. Jeśli byłaby to czytelnia, to myślałem o braku odczytu z CD i USB, by nie ściągali żadnych pirackich plików i nie znosili ich do domu. No bo na co im ściągać, jeśli nie mogą zgrać tego na płytę czy pendrive? A jeśli już, to z poziomu roota szłoby nagrywać płyty czy widzieć USB - nie z poziomu ZU. Ale nie wiem, czy takie cuda idzie łatwo i prosto osiągnąć (o ile w ogóle).

 

system-config-users - tak, to jest to, ale dawniej była jeszcze zakładka, w której wybierało się właśnie, czy ma być dostęp dla usera do napędów, kluczy USB itd. Teraz tego nie ma już :-/ Było to prawdziwie graficzne nadawanie uprawnień użytkownikowi. Ale może był to taki ficzer Debian-Only (widziałem to z rok temu)?

 

Wiem, że Linux nie potrzebuje takich restrykcji jak Windows, gdzie faktycznie bez uprawnień nie można go postawić jako publiczny PC, ale nie robię już tego dlatego, by tak system ograniczyć, ale by nauczyć się czegoś nowego. Chciałbym mieć po prostu w pełni spersonalizowane konta. Szczególnie ciekawi mnie szablon /etc/skel, bo nie wiem jak się go ustawia. W systemie mogą być inne aplikacje, ale user nie będzie o nich wiedział, bo ja na swoim koncie głównym będę miał wszystko i wiedział o tym, a reszta userów konta z /etc/skel.

[borzole]

Prawdę mówiąc zacząłbym od zablokowania dostępu do terminala, ale nie wiem jak to się fachowo robi.

Kurcze, przysiągł bym że był tu z rok temu taki temat jak zrobić "przeglądarkę do biblioteki".

[@WalDo]

Nie jestem pewien czy o to chodzi, ale publicznie dostępny system z ograniczeniami to chyba się nazywa "kiosk mode" → http://www.google.pl/search?hl=pl&sour...;oq=linux+kiosk

 

[EDIT]

Taki → zrzut ekranu wygląda obiecująco

[Jusko]

O dziwo aplikacja znalazła się w repo. Przetestowałem, obejrzałem chwilę...i prawdę mówiąc - nieszczególnie to tak naprawdę użyteczne. Tyczy się to KDE i tam przyblokowałoby parę opcji na panelach, ale w GNOME nieszczególnie, tak jak i szczególnie jakiś wielu opcji nie ma.

 

Znalazłem za to coś w tym stylu, idąc za tropem: http://forum.ubuntu.pl/showthread.php?t=82622. Ale to i tak nie do końca mnie zadowala. Szkoda tylko, że bez arta to ciężko z pamięci szłoby to wykonać :-)

 

P.S: ktoś wie, co trzeba wsadzić do /etc/skel, aby stworzyć menu użytkownikowi?

 

 

[borzole]

co trzeba wsadzić do /etc/skel, aby stworzyć menu użytkownikowi?

Już Ci mówiłem, że menu jest dla wszystkich takie samo. Pochodzi z

/usr/share/applications

/usr/local/share/applications

oraz

/home/user/.local/share/applications

tylko nad tym ostatnim masz kontrolę. Na upartego to po prostu wyedytuj menu tak jak chcesz by wyglądało i skopiuj zawartość

/home/user/.local/share/applications

do

/etc/skel/.local/share/applications

[Jusko]

Odkopię nieco temat, ponieważ być może coś się zmieni. Wspominałem, że coś tam kiedyś było w GNOME. Otóż sterowniki własnościowe do karty graficznej zmusiły mnie chwilowo nieco do powrotu na jakieś stare distro. Wybór padł na Ubuntu 8.04 z racji tego, iż jeszcze caluśki rok będzie wspierane (może nawet ponad). Otóż tak tutaj wyglądało (wygląda) zarządzanie uprawnieniami userów (GNOME 2.22.3):

 

 

Trzeba przyznać, że przyjemnie - prawda? Właśnie czegoś takiego szukam w Fedorze (szukałem, gdyż chwilo jest Ubuntu). Kiosk mode niezbyt się nadaje. Szukam właśnie takiego czegoś.

[HermeZ]

A próbowałeś bawić się z PolicyKit? Skoro potrafi odmówić zamontowania partycji NTFS, to może również odmówi danemu użytkownikowi montowania kluczy USB i płyt CD/DVD.

[Jusko]

Nie - nie bawiłem i nie wiem, jak miałbym się za to zabrać. Może postawię Fedorę na wirtualu jeśli byłaby możliwość, by tak PK przestawić i sprawdzić czy działa.

[thof]

A próbowałeś bawić się z PolicyKit?

Jest taka możliwość, ale jak na razie czekamy na jakąś graficzną nakładkę. Jak ktoś się uprze to tekstowo też można wyedytować pliki, ale nie wiem czy jest sens się męczyć.

 

[Jusko]

No dobra, to na siłę założyć można filtrację na WWW. Po prostu chciałbym uniknąć sytuacji, że jest po prostu np. czytelnia w bibliotece z PC (biblioteki też idą do przodu), a nagle wpada policja i rekwiruje sprzęty, ponieważ nakryli, że ktoś masowo zasysał nielegalne mp3 i torrenty (rozpowszechniając je). To nie jest wcale takie śmieszne i całkiem możliwe. Dlatego chciałem ograniczyć pendrive - bo na coś im ściągać (dzieciakom), jak nie mogą zanieść tego na niczym do domu? Bo te ograniczenia z obrazka powyżej to ładnie wyglądają, ale to bardziej atrapy niż faktycznie działające funkcje (takie jaja w distrze "for human beings" ). Jeśli chodzi o filtrację to można założyć jakąś blacklistę albo filtrację na dane słowa, lecz kompletnie nie znam się na jakiś SQUID'ach nie SQUID'ach i ogólnie choinkowo dużo z tym roboty (czytałem kiedyś jakieś how-to). Szkoda, że nie ma (a może jest?) na Linuksa czegoś takiego jak WebLock czy Beniamin z Windows.

[HermeZ]

Jest taka możliwość, ale jak na razie czekamy na jakąś graficzną nakładkę. Jak ktoś się uprze to tekstowo też można wyedytować pliki, ale nie wiem czy jest sens się męczyć.

Wystarczy wyszukać akcję (nie pamiętam w tej chwili, gdzie siedzą te pliki, ale to nie problem je znaleźć) i edytować dany plik. Nie będzie z tym dużo roboty, tylko trochę szukania. Ale graficzna nakładka by się przydała, to racja

Torrentów nie będą ściągać, jak nie będzie żadnego programu do torrentów.

A w ogóle, wystarczy zainstalować jakieś malutkie środowisko (czemu akurat Gnome?), gdzie wszystko jest konfigurowalne w plikach tekstowych. Potem odebrać prawa zapisu i już wszystko gra Takie moje małe przemyślenie A do FF ustawić choćby skrót na pulpicie. Wszyscy będą zadowoleni (pozostaje filtrowanie stron ustawić, ale to już wyższa szkoła jazdy )

 

[Jusko]

Cóż - młodzież jest skapliwa i nawet DOS'a by opanowali, gdyby musieli (czytaj: doczytają lub przyniosą w tar.gz jakiś program do torrentów) Środowiskiem ma być GNOME, ponieważ znam tylko to środowisko (ew. XFCE bo to niemal GNOME i KDE 3.5.x). No i musi być też takie, w którym laik się połapie. Nie znam się na żadnym innym Ech...to jest wszystko proste, ale na Windows - obładować konto gościa quotami i uprawnieniami, że nawet Firefoxa się nie zaktualizuje to tam jest pikuś - ale My używamy Linuksa (w którym nawet nie wiem, jak te quoty założyć).Tak samo filtrowanie WWW - tam wystarczy jeden program, który opanowałem w 30 sekund, a tu trzeba zaprzęgać jakieś kolosy w postaci DansGuardian czy jakoś tak Oczywiście wszystko nadal jest dla mojej wiedzy i ambicji by to osiągnąć - nie prawdziwej sytuacji, która tego wymaga. Ale kto wie, co będzie kiedyś i czy nie stanę przed takim wyzwaniem.

[borzole]

Wrzucisz im openbox+minimum aplikacji, podmontujesz /home z opcją noexec, zmienisz właściciela kilku plików konfiguracyjnych na roota (żeby sobie nic do menu nie mogli dodać) wyrzucając z menu terminal (0 dostępu do konsoli), dodasz autologowanie i masz 99% ograniczeń załatwionych.